网曝福布斯网站被注入Magecart恶意脚本

2019 年 5 月 21 日 0 条评论 163 次阅读 0 人点赞

Magecart组织自2015年以来一直活跃,并且入侵了许多电子商务网站,窃取了支付卡和其他敏感数据。该组织在目标网站中注入一个skimmer(信息读取)脚本来读取支付卡数据,一旦攻击者成功破坏了网站,它就会在HTML模板中添加嵌入的Javascript。

该脚本会收集支付卡卡号、到期日、信用卡CVV / CVC验证码,以及持卡人的姓名、地址、电话号码和电子邮件。Magecart组织目前仍在不断发展。它曾对Ticketmaster、British Airways、OXO和Newegg这样的知名国际公司发起过攻击,小型零售商也难逃厄运,诸如Amerisleep和MyPillow这样的公司也是受害者。

今年4月初发现2440个被入侵的网站,这些网站都被感染了Magecart的支付卡读取脚本。除Group-IB之外, Magecart发起的每一起攻击事件中,都会检测到更多未经披露的攻击,其中很大一部分涉及第三方支付平台。

4月下旬,发现数百家Magento商店被注入了在GitHub存储库上托管的支付卡读取脚本,当时Magecart组织也感染NBA球队亚特兰大老鹰队的官方网上商城。

福布斯网址被攻击
虽然目前仍然可以在福布斯网站(forbesmagazine.com)上找到经混淆处理的Magecart脚本,但攻击者用来收集被盗付款支付信息的域名已经被Freenom的API删除,此API可以立即删除恶意域名。

网曝福布斯网站被注入Magecart恶意脚本

研究人员发现的Magecart脚本的反混淆版本,该脚本显示网络犯罪分子收集的确切支付数据,以及他们接收这些窃取信息所使用的服务器地址。

网曝福布斯网站被注入Magecart恶意脚本

攻击者使用WebSocket协议对被盗的数据进行过滤,其中WebSocket协议是一种计算机通信协议,允许在受控环境中运行不受信任代码的客户端与其远程主机之间的双向通信。

ice

这个人太懒什么东西都没留下